KI-Verordnung (AI Act) mit breiter Mehrheit im EU-Parlament angenommen
Das weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz (KI) wurde am 13.03.2024 nach monatelangen Verhandlungen im EU-Parlament mit einer breiten Mehrheit angenommen.
Bereits 2021 hatte die Europäische Kommission den Vorschlag über harmonisierte Vorschriften zur Künstlichen Intelligenz vorgelegt. Im Juni 2023 veröffentlichte dann das Europäische Parlament seine Änderungsvorschläge, ehe im Dezember 2023 nach langen Trilogverhandlungen eine Einigung zwischen Parlament, Kommission und Rat über den AI Act erzielt wurde. Das historisch einzigartige Gesetz wurde schließlich im März 2024 mit 523 zu 46 Stimmen bei 49 Enthaltungen angenommen. Der aktuelle Text kann hier auf Deutsch nachgelesen werden.[1]
Als letzter Schritt erfolgen noch abschließende Beratungen im EU-Ministerrat und die förmliche Annahme des Gesetzes durch diesen, womit der AI Act noch vor der Europawahl 2024 in Kraft treten könnte.
Risikobasierter Ansatz und verbotene Systeme
Wie bereits die DSGVO beinhaltet auch der AI Act einen risikobasierten Ansatz, der KI-Systeme je nach Art und Einsatzgebiet in verschiedene Risikoklassen einteilt, an die wiederum unterschiedliche Verpflichtungen und Rechtsfolgen geknüpft sind. Es gilt der Grundsatz: Je höher das Gefahrenpotenzial eines Systems, desto strenger sind auch die Anforderungen an dessen Entwicklung und Einsatz. So verbietet das Gesetz KI-Systeme, die ein unannehmbares Risiko bergen, wozu etwa das „Social Scoring“, das „Profiling“ zur Vorhersage von Straftaten, die Emotionserkennung am Arbeitsplatz oder auch manipulative Techniken zur unterschwelligen Beeinflussung zählen (Artikel 5).
Hochrisiko-Systeme unterliegen bestimmten Anforderungen
Nicht verboten aber als Hochrisiko-Systeme eingestuft und daher mit bestimmten Verpflichtungen verbunden sind etwa KI-Systeme in der kritischen Infrastruktur, in der Migrations- und Grenzkontrolle oder auch im Personalmanagement und in der Rechtspflege. Dies allerdings nur, sofern diese Systeme auch ein erhebliches Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Personen darstellen (Näheres dazu in Artikel 6). Neben bestimmten Dokumentations-, Transparenz- und Aufzeichnungspflichten, kann es unter Umständen verpflichtend sein, für diese Systeme eine Grundrechtsfolgenabschätzung (Artikel 27) vorzunehmen.
Was ist mit ChatGPT & Co.? – Sonderfall GPAI Modelle und -Systeme
Im ursprünglichen Vorschlag der EU Kommission nicht berücksichtigt, aber im Zuge der Verhandlungen in den Gesetzestext mitaufgenommen wurden sogenannte „KI-Modelle mit allgemeinem Verwendungszweck“ („GPAI-Modelle“). Darunter fallen beispielsweise die Familien der GPT-3.5 und GPT-4-Modelle, die dem System des berüchtigten Chatbots „ChatGPT“ von OpenAI zugrunde liegen.[2] Diese Modelle bilden nun im AI Act eine Sonderkategorie und je nachdem, ob sie ein systemisches Risiko darstellen oder nicht, treffen deren Anbieter und Nutzer unterschiedliche Verpflichtungen (Artikel 51-55). Sofern ein KI-System so konzipiert ist, dass es mit natürlichen Personen direkt interagiert (etwa sog. „Large Language Models“) und Inhalte generiert, wie beispielsweise Audio-, Video-, Bild- oder Textinhalte, dann muss dies transparent gemacht und der Inhalt entsprechend als KI-generiert gekennzeichnet werden (Artikel 50). Diese Kennzeichnungspflichten dienen vor allem dazu, Deepfakes, Desinformationskampagnen und manipuliertem Content vorzubeugen. Wie Sie Large Language Models wie ChatGPT, Google Bard und BingAI sicher nutzen und verantwortungsvoll mit diesen umgehen können, erklären wir Ihnen übrigens in unseren LLM Guidelines.
Systeme mit geringem Risiko und ausgenommene Systeme
Allen anderen KI-Systemen wird kein erhebliches Risiko attestiert, weshalb der AI Act keine besonderen Verpflichtungen für diese vorsieht. Es wird lediglich die freiwillige Ausarbeitung von Verhaltenskodizes empfohlen. Explizit vom Anwendungsbereich ausgenommen sind KI-Modelle oder -Systeme, die ausschließlich zum Zweck der wissenschaftlichen Forschung, für Verteidigungs- und Militärzwecke sowie im privaten Bereich von natürlichen Personen genutzt werden. Außerdem fallen Systeme nicht in den Anwendungsbereich, wenn sie nicht in der Europäischen Union entwickelt, eingesetzt oder genutzt werden.
Was gilt es nun zu beachten?
Das Gesetz wird grundsätzlich 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten. Die Vorschriften sind dann überwiegend nach 2 Jahren nach dem Inkrafttreten anwendbar. Für GPAI-Modelle gilt sogar eine Frist von 12 Monaten und verbotene Praktiken müssen bereits innerhalb von 6 Monaten eingestellt werden. Ein Amt für Künstliche Intelligenz, dessen Kompetenzen ebenfalls im AI Act geregelt sind, wurde bereits eingesetzt und mit der Steuerung des Umsetzungsprozesses unter Aufsicht der Europäischen Kommission betraut. Es ist somit absehbar, dass der AI Act die Tätigkeiten von unzähligen Unternehmen, Behörden, NPOs, etc. maßgeblich beeinflussen und eine fundamentale Umstellung mit sich bringen wird. Denn die Strafen bei Nichteinhaltung der Vorschriften sind hoch: So kann bei einer Verletzung verbotener Praktiken eine Geldbuße von bis zu €35 Mio. oder 7% des jährlich weltweiten Umsatzes und bei der Verletzung der Transparenzpflichten für Chatbots und generative KI eine Geldbuße von bis zu €15 Mio. oder 3% des jährlich weltweiten Umsatzes verhängt werden. Es wird daher jetzt schon dringend angeraten, sich mit diesem Rechtsinstrument eingehend zu beschäftigen, um die Einhaltung der darin enthaltenen Vorschriften rechtzeitig sicherzustellen.
[1] Die verschiedenen Fassungen gibt es hier nachzulesen, die aktuelle Version findet sich unter „Amendment 808“ in verschiedenen Sprachen.
[2] Eine genaue Erklärung zur Abgrenzung von GPAI-Modellen und Systemen finden Sie hier auf Englisch.